面向僵尸网络的网络协同行为机理分析与检测方法研究

本项目以当前互联网的大规模安全威胁僵尸网络作为研究载体，以大量真实案例为基础，从僵尸网络命令与控制的本质共性出发，采用理论建模、仿真实验与实证测试相结合的方式，研究僵尸网络所蕴含的基本科学问题：大规模网络中的网络协同行为机理分析与检测方法。具体的，研究网络协同行为的形式化建模、度量指标体系，并基于网络协同行为，研究适用于大规模网络的僵尸网络检测方法，能够有效在大规模网络中检测具有同步性协同、周期性协同、异步性协同等协同行为的僵尸网络。本项目以在西安交通大学校园网活跃的近30例僵尸网络和累计上万个僵尸主机作为真实案例，保证了问题来源的实际性以及研究成果的实用性；同时，从实际案例中抽象出共性科学问题，保证了本项目的研究具有相对广泛适用性；最终，本项目有望研发适用于大规模网络的独立于僵尸网络具体的命令与控制结构的僵尸网络检测方法，有很好的市场应用前景和重大的国家网络信息安全战略意义。

本项目以僵尸网络作为研究对象，结合真实网络流量和僵尸网络样本分析，从僵尸网络检测、规模估计、主动防御三个角度开展研究。所提出方法从整体上考虑僵尸网络的隐蔽性、协同性、分布式等命令与控制特征，尽可能兼顾大规模网络中的可扩展性、多个网络数据的融合、隐私泄漏风险规避、易于部署等应用需求，最终在实际网络中验证所提方法的可行性。本项目主要工作如下：.1）僵尸网络检测：一方面，在现有研究的基础上，进一步用多种方法对比分析基于Nick Name特征的IRC僵尸网络检测，提出数据包序列周期性的IRC僵尸网络行为新特征，该特征不依赖于数据包负载，能够检测更加隐蔽的IRC僵尸网络。另一方面，提出基于恶意行为多网踪迹关联的外包式僵尸网络检测模式，通过汇聚关联不同网络的粗粒度数据，以较大的全局可见度（global visibility）挖掘僵尸网络恶意踪迹，为参与外包的单个网络提供僵尸网络检测服务。所提外包式僵尸网络检测模式兼顾性能和隐私问题，不仅具有良好的检测效果，相比传统黑名单方法可尽早发现僵尸网络。.2）僵尸网络规模估计：研究基于DNS缓存探测技术的主动式僵尸网络规模估计技术，通过远程探测分布在不同网络中的递归DNS服务器的缓存，依据缓存状态的动态变化估计相应网络中僵尸网络的规模。相比传统的流量被动镜像方式，该技术在损失少量精度的情况下，以一种非常轻量级、低成本、不侵犯隐私、极易部署维护的方式实现僵尸网络规模估计。通过测量真实DNS流量，采用超指数分布模型刻画僵尸网络域名请求的时间间隔分布特征，采用更新过程（renewal process）等理论，提出了基于超指数分布的估计算法，相比传统的指数分布误差显著性降低。.3）僵尸网络主动防御：提出基于分布式蜜网的僵尸网络主动防御技术，通过在每个网络中部署蜜网，分析该网络遭受到的僵尸网络历史攻击，关联融合不同蜜网的数据，为每个网络预测个性化的未来最有可能的僵尸网络攻击，从而达到主动防御的目的。所提技术一改蜜网只用于攻击行为捕获的传统，将蜜网应用于僵尸网络的主动防御，在一定程度上提升了安全防御的主动性，改善了网络安全攻守博弈的不平衡。.基于相关研究成果，研发了僵尸网络监控系统，包括“西安交通大学校园网僵尸网络检测系统”和“全球僵尸网络规模估计系统”，这些系统已经部署于西安交通大学校园网内并已运行多年，取得了良好的实际应用效果。